时间:2019-08-07 来源:互联网 浏览量:
Microsoft Security Response Center简称MSRC,微软安全响应中心在最新的对外消息中称,已经建立了Azure Secuite Lab即Azure安全实验室。为此设立最高悬赏30万美金的奖金,该实验室基于社区的防御,协调漏洞披露以及针对Azure 公有云的安全研究。
MSRC社区和合作伙伴参与计划的首席安全经理Kynberlee Price撰写博客文章对外透露,为了帮助保持这种社区安全防御的氛围,微软将对Azure漏洞的最高奖金加倍,达到40000美元。
不仅如此,为了让安全研究人员更自信、更积极地测试Azure,微软邀请了一批才华横溢的人,在一个名为Azure安全实验室的客户安全云环境中尽最大努力模拟黑客攻击。
Azure安全实验室采用了一套专门的云主机,可供安全研究人员测试针对IaaS场景的攻击,并且与Azure客户隔离。除了提供一个安全的测试空间,实验室计划还将使参与研究的人员能够直接与Microsoft Azure安全专家接触。接受的申请者将有机会参加针对目标场景的季度活动,并有额外的奖励。
隔离的Azure安全实验室为研究人员提供一些非常有料的东西,研究人员不仅可以研究Azure中的漏洞,还可以尝试利用这些漏洞发起对微软公有云的攻击,还可以尝试进行修复。那些授权能够访问Azure安全实验室的人,可能会尝试基于某些场景的挑战,最高奖励为30万美元。
为了让研究人员在识别和披露潜在漏洞的过程中,更清楚地了解这些漏洞,微软正在确定20年来对Safe Harbor规则的承诺。这些规则可以补充了微软当前的奖励计划条款,帮助研究人员确保他们的工作得到认可。
当然,微软致力于确保云安全免受威胁,从一开始就在考虑安全的情况下如何构建Azure,并通过诸如Azure Sentinel和Azure Security Center等产品帮助客户保护其Azure云环境。
如果出现安全漏洞等情况,微软的云防御运营中心(CDOC)和安全团队会日以继夜地工作,以实时识别、分析和响应威胁。
为此,微软也构建了基于云计算安全领域的伙伴关系,成其为安全战略的核心,同时还组建了全球安全研究者社区。安全研究人员凭借协调一致的漏洞披露、识别并向微软报告漏洞,通过反复证明、合作、研究漏洞必然有助于保护客户。为了感谢这些安全研究人员所做的努力,微软在过去12个月内已经累计发放了440万美元的奖金。这一切都是未来进一步保护Azure的云生态系统。
阿明观察分析:微软在Azure公有云上实行最高悬赏30万美元的漏洞奖励计划,对于Azure生态系统来说必然是个好消息,对于全球公有云服务的安全治理也带来了可行的措施。作为目前微软发展最快的业务之一,Azure已经成为了全球公有云市场举足轻重的角色。
当然,这样的漏洞赏金计划必然需要配备完善的法律规则和措施,否则参与的研究人员可能会被法律机构认定为黑客的违法入侵行为而被起诉。特别是在Azure安全实验室中的研究人员模仿黑客的攻击行为,很容易被法律人员误解。
呵呵,只要参与的该计划的研究人员没有故意或恶意地违反微软的具体漏洞奖励计划的规则,那么都将受到微软的照顾和感激。
如此看来,微软Azure现在对外叫喊着,有本事快来,我们互相伤害一下!其目的还是有助于云服务品质提升,毕竟云安全一直备受全球用户关注。
那么,如果你想做一个“bug赏金猎人”,不妨试试看。
——Aming编辑评论——